Trojan SMS với tham vọng bùng nổ toàn cầu

Gần đây, các chuyên gia Kaspersky Lab nhận thấy những Trojan SMS bắt đầu xuất hiện trên ngày càng nhiều quốc gia. Một trong các ví dụ nổi bật là Trojan-SMS.AndroidOS.Stealer.a nằm trong 20 phần mềm di động độc hại hàng đầu (theo thống kê tình hình bảo mật trong Quý 1/2014 do Kaspersky Lab thực hiện) và Trojan-SMS.AndroidOS.FakeInst.ef nhắm mục tiêu đến người dùng tại 66 quốc gia bao gồm cả Mỹ.

Trojan SMS tham vọng bùng nổ toàn cầu

Trojan-SMS.AndroidOS.Stealer.a gửi những tin nhắn ngắn đến các đầu số cao cấp tại 14 quốc gia trên thế giới. Trong khi đó, Trojan-SMS.AndroidOS.FakeInst.ef nhắm mục tiêu đến người dùng tại 66 quốc gia và đây là lần đầu tiên các chuyên gia Kaspersky Lab tìm thấy sự liên quan đến một Trojan SMS đang hoạt động tại Mỹ. FakeInst được phát hiện bởi Kaspersky Lab vào tháng 02/2013 và kể từ đó đã xuất hiện 14 phiên bản khác nhau. Các phiên bản trước đó chỉ có khả năng gửi tin nhắn đến các số cao cấp tại Nga. Nhưng vào giữa năm 2013, các quốc gia khác đã xuất hiện trên “danh sách hỗ trợ”: Theo thống kê của Kaspersky Lab, hầu hết các trường hợp nhiễm Trojan-SMS.AndroidOS.FakeInst.ef là ở Nga và Canada. FakeInst cải trang như là một ứng dụng xem video khiêu dâm.

 Ứng dụng này yêu cầu người dùng đồng ý gửi tin nhắn văn bản để mua nội dung. Tuy nhiên, sau khi gửi tin nhắn thì Trojan sẽ mở một trang web miễn phí truy cập.

 Để gửi tin nhắn, Trojan giải mã một tập tin cấu hình có chứa tất cả số điện thoại và các tiền tố:

 Từ danh sách này, Fakelnst lựa chọn các đầu số và tiền tố thích hợp với mã di động quốc gia của người dùng (MCC). Ví dụ, đối với một MCC trong phạm vi 311-316 (tương ứng với Mỹ), Trojan sẽ gửi ba tin nhắn đến số 97605, chi phí khoảng 2 đô la Mỹ.

 Trojan cũng liên hệ với máy chủ C&C của nó để được hướng dẫn thêm. Trong tất cả các lệnh mà nó có thể nhận và xử lý, các chuyên gia Kaspersky Lab muốn nhấn mạnh khả năng gửi một tin nhắn với nội dung cụ thể cho một số điện thoại được liệt kê trong lệnh C&C, và chặn tin nhắn đến. Trojan có thể làm những điều khác nhau với những tin nhắn đến – ăn cắp tất cả, xóa chúng, hoặc thậm chí phản hồi.

Xử lý lệnh C&C để đánh chặn các tin nhắn SMS

Các chuyên gia tin rằng FakeInst được tạo ra bởi tội phạm mạng nói tiếng Nga. Thứ nhất, phiên bản đầu tiên của nó đã được thiết kế chỉ để hoạt động ở Nga. Thứ hai, tất cả các máy chủ C&C của nó đã được đăng ký với nhà cung cấp và lưu trữ tại Nga. Hầu như tất cả các phiên bản của Trojan sử dụng hai máy chủ C&C sau đây:

• x-bt.in
• y bt.in

Các URL đã được đăng ký bằng tên của Klimon Dmitriy Ivanovich, người đã khai Moscow như nơi mình cư trú và số điện thoại của Nga.

Trojan SMS tham vọng bùng nổ toàn cầu Các tên miền này sử dụng các máy chủ DNS của công ty FASTVPS.RU. Các trang web sau đây được đặt trên cùng một IP với các máy chủ C&C:

• botmgr.net
• anid.in
• icemob.net
• ftop.org
• midex.org
• wapon.org

Đánh giá theo phản hồi và cấu trúc của chúng, các trang web này cũng được sử dụng để quản lý các “bot” và được đăng ký với dữ liệu cá nhân trên. Roman Unuchek, Chuyên gia Phân tích phần mềm độc hại cao cấp, Kaspersky Lab, cho biết: “Sự lây lan theo địa lý của các Trojan SMS đã mở rộng đáng kể trong thời gian gần đây. Hai năm trước, điều này là bất thường để xem loại phần mềm độc hại này bên ngoài các quốc gia CIS, nhưng vào đầu năm 2014 người dùng trên 66 quốc gia đã gặp phải Trojan AndroidOS.FakeInst.ef, bao gồm cả ở Bắc và Nam Mỹ cũng như châu Âu. Hơn nữa, chương trình đặc biệt này là Trojan SMS đầu tiên tiếp cận người dùng ở Mỹ. Cũng như gửi tin nhắn văn bản trái phép mà chi phí khoảng 2 đô la mỗi tin nhắn, Trojan có thể gửi một tin nhắn SMS từ một thiết bị bị nhiễm tới một số điện thoại cụ thể với một văn bản cài sẵn và đánh chặn tin nhắn đến. Có vẻ như các tội phạm mạng đã xây dựng được đủ nguồn lực để mở rộng kinh doanh bất hợp pháp của họ trên quy mô toàn cầu.”  

Theo Kaspersky Lab